在刚刚结束的xctf武汉站比赛中,一道脑洞题坑了一批人,出题人给了一个附件,里面是python的字节码文件,很多人不假思索的进行了反编译,我也是,还认真分析出了里面的rc4算法,然后就无解了。。。尴尬纠结了一天,结果确是出题人的坑,其实使用的是python字节码隐写,下面由我跟大家介绍一下:
Python隐写基础:
由于编码密度较低,所以当我们嵌入payload时既不会改变代码的运行也不会改变源文件大小,pyyload会被分散嵌入字节码中,所以string类型的工具也无法检测。
工具:
Stegosaurus,中文名剑龙,是专门为python字节码嵌入开发的一个工具。主要参数如下:
1.查看能够嵌入的字节数
2.嵌入字节
3.查看字节码文件隐藏的字节
工作原理:
其实Stegosaurus的工作原理十分简单,就是寻找DeadZone,无效空间,在python3以后所有指令都会占用两个字节,且无参的指令的第二个字节会设置为0,这个字节在运行中会被解释器忽略,所以代码中所有无参的命令都可以被嵌入一个字节,但是确发现不了。并且修改前后大小一样。
实战:
下面实战下比赛的那一题,经过上面的讲解,大家也可以自如完成试验了:
下载地址:下载工具点这里